概要:開発環境に潜む深刻なセキュリティリスク
人気の統合開発環境(IDE)であるCursorとWindsurfの最新リリースに、ChromiumブラウザおよびV8 JavaScriptエンジンにおける94以上の既知のセキュリティ脆弱性が発見されました。これらの脆弱性はすでにパッチが適用されているものですが、両IDEが古いバージョンのコンポーネントを使用しているため、約180万人の開発者がリスクに晒されていると推定されています。
脆弱性の詳細:古いElectronフレームワークが原因
Ox Securityの研究者によると、CursorとWindsurfは、古いバージョンのVisual Studio Codeを基盤としており、クロスプラットフォームアプリ構築用のElectronフレームワークの古いリリースに依存しています。ElectronはChromiumとV8を組み込んでいるため、IDEは時代遅れのChromiumおよびV8エンジンを使用することになり、すでに新しいバージョンで修正されている脆弱性に対して無防備な状態となっています。
研究者たちは、CursorとWindsurfが使用しているChromiumビルドには、少なくとも94の脆弱性が存在すると指摘しています。
攻撃手法:任意コード実行の可能性も
Ox Securityは、CVE-2025-7656として知られるMaglev JIT整数オーバーフロー脆弱性を悪用する実証を行いました。これは、ディープリンクを介してCursorを実行し、そのブラウザにエクスプロイトペイロードをホストするリモートURLを訪問させることで、サービス拒否(DoS)状態を引き起こし、レンダラーをクラッシュさせるものです。
しかし、研究者たちは、任意コード実行も現実的な攻撃シナリオとして可能であると警告しています。攻撃者は、以下のような複数の方法で脆弱性を悪用する可能性があります。
- 悪意のある拡張機能の使用
- ドキュメントやチュートリアルへのエクスプロイトコードの注入
- 古典的なフィッシング攻撃
- READMEファイルに悪意のあるコードを仕込むなど、汚染されたリポジトリの利用
ベンダーの対応と今後の課題
Ox Securityが10月12日に責任ある情報開示を行ったにもかかわらず、Cursorはこの報告を「範囲外」として却下し、Windsurfからは返答がありませんでした。Cursorの最後のChromiumアップデートは2025年3月21日(バージョン0.47.9、Chromium 132.0.6834.210)であり、それ以降、少なくとも94の既知のCVEが公開されています。研究者たちは、「攻撃対象領域は非常に大きい」と述べています。
対照的に、最新のVisual Studio Codeは定期的に更新され、既知のバグに対処しているため、これらの脆弱性の影響を受けません。
開発者への影響とセキュリティ意識の重要性
この問題は、開発者が日常的に使用するツールが、いかに深刻なセキュリティリスクを抱えうるかを示しています。IDEのセキュリティは、開発プロセス全体の安全性を確保する上で極めて重要です。開発者は、使用しているツールのセキュリティアップデートに注意を払い、常に最新の状態を保つことが求められます。